创建专用连接配置

概览

在本部分中，您将了解如何创建专用连接配置。Datastream 会使用此类配置通过专用网络（在 Google Cloud 内部，或者与通过 VPN 或互连连接的外部来源）与数据源进行通信。此通信通过 Virtual Private Cloud (VPC) 对等互连连接进行。

VPC 对等互连连接是两个 VPC 之间的网络连接，可让您使用内部专用 IPv4 地址在它们之间路由流量。 在设置专用连接配置时，您需要提供专用 IP 地址，因为 Datastream 不支持专用连接中的域名系统 (DNS) 解析。

准备工作

在创建专用连接配置之前，您需要执行以下步骤，以便 Datastream 能够创建与您的项目的 VPC 对等互连连接：

• 拥有可与 Datastream 专用网络建立对等互连且符合限制要求的 VPC 网络。如需详细了解如何创建此网络，请参阅使用 VPC 网络对等互连。
• 确定 VPC 网络上的可用 IP 范围（CIDR 地址块为 /29）。此范围不能是已经作为子网存在的 IP 范围、专用服务访问通道预分配的 IP 范围，也不能是任何包含该 IP 范围的路由（默认的 0.0.0.0 路由除外）。Datastream 使用此 IP 范围创建一个子网，以便它可以与源数据库通信。下表介绍了有效的 IP 范围。

范围	说明
10.0.0.0/8 172.16.0.0/12 192.168.0.0/16	专用 IP 地址 RFC 1918
100.64.0.0/10	共享地址空间 RFC 6598
192.0.0.0/24	IETF 协议分配 RFC 6890
192.0.2.0/24 (TEST-NET-1) 198.51.100.0/24 (TEST-NET-2) 203.0.113.0/24 (TEST-NET-3)	文档 RFC 5737
192.88.99.0/24	IPv6 到 IPv4 中继（已弃用）RFC 7526
198.18.0.0/15	基准测试 RFC 2544

• 验证 Google Cloud 和本地防火墙是否允许来自 所选 IP 范围。否则，请创建入站防火墙规则 允许源数据库端口传输流量，并确保 IPv4 防火墙规则中的地址范围与 IP 地址范围相同 分配：

  gcloud compute firewall-rules create FIREWALL-RULE-NAME \
    --direction=INGRESS \
    --priority=PRIORITY \
    --network=PRIVATE_CONNECTIVITY_VPC \
    --project=VPC_PROJECT \
    --action=ALLOW \
    --rules=FIREWALL_RULES \
    --source-ranges=IP-RANGE
    

  替换以下内容：

  • FIREWALL-RULE-NAME：要创建的防火墙规则的名称。
  • PRIORITY：规则的优先级，以整数表示 介于 0 和 65535 之间（包括 0 和 65535）。该值必须低于 值（如果存在）。优先级值较低 意味着更高的优先级。
  • PRIVATE_CONNECTIVITY_VPC：可以与之建立对等互连的 VPC 网络 Datastream 专用网络， 称为限制。 这是您在创建专用连接时指定的 VPC 配置。
  • VPC_PROJECT：VPC 网络的项目。
  • FIREWALL_RULES：服务器连接到的协议和端口的列表 防火墙规则适用，例如 tcp:80。该规则需要允许 TCP IP 地址和源数据库的端口或 代理。由于专用连接可以支持多个数据库， 需要考虑配置的实际使用情况

  • IP-RANGE：Datastream 访问的 IP 地址范围 用来与源数据库通信。这个范围就是 请在分配 IP 范围字段中指定专用 IP 范围 连接配置。

    您可能还需要创建相同的出站防火墙规则， 将流量传回 Datastream。

• 分配给包含 compute.networks.list 权限的角色。此权限为您提供列出项目中的 VPC 网络所需的 IAM 权限。您可以查看 IAM 权限参考文档，了解哪些角色包含此权限。

共享 VPC 前提条件

如果您使用的是共享 VPC，则除了准备工作部分中所述的步骤外，您还必须完成以下步骤：

1. 对服务项目执行以下操作：

   1. 启用 Datastream API。

   2. 获取用于 Datastream 服务账号的电子邮件地址。当您执行以下任一操作时，系统会创建 Datastream 服务账号：

      • 您需创建 Datastream 资源，例如连接配置文件或数据流。
      • 创建专用连接配置，选择您的共享 VPC，然后点击创建 Datastream 服务账号。服务账号是在宿主项目中创建的。

      如需获取用于 Datastream 服务账号的电子邮件地址，请在 Google Cloud 控制台首页中找到相应的项目编号。服务账号的电子邮件地址为 service-[project_number]@gcp-sa-datastream.iam.gserviceaccount.com。

2. 在宿主项目上：

   1. 向 Datastream 服务账号授予 compute.networkAdmin Identity and Access Management (IAM) 角色权限。只有在创建 VPC 对等互连时才需要此角色。建立对等互连后，您不再需要该角色。

      如果您的组织不允许授予权限，请创建具有以下最低权限的自定义角色，以创建和删除专用连接资源：

      compute.globalAddresses.*

      • compute.globalAddresses.create
      • compute.globalAddresses.createInternal
      • compute.globalAddresses.delete
      • compute.globalAddresses.deleteInternal
      • compute.globalAddresses.get

      compute.globalOperations.*

      • compute.globalOperations.get

      compute.networks.*

      • compute.networks.addPeering
      • compute.networks.get
      • compute.networks.listPeeringRoutes
      • compute.networks.removePeering
      • compute.networks.use

      compute.routes.*

      • compute.routes.get
      • compute.routes.list

      compute.subnetworks.*

      • compute.subnetworks.get
      • compute.subnetworks.list

   如需详细了解自定义角色，请参阅创建和管理自定义角色。

创建配置

1. 查看必需的前提条件，反映环境必须如何为专用连接配置做好准备。如需详细了解这些前提条件，请参阅准备工作。

2. 转到 Google Cloud Console 中的专用连接配置页面。

   转到“专用连接配置”页面

3. 点击创建配置。

4. 使用下表填充创建专用连接配置页面的配置专用连接部分的字段：

   字段	说明
   配置名称	输入专用连接配置的显示名称。
   配置 ID	Datastream 会根据您输入的配置名称自动填充此字段。您可以保留自动生成的 ID，也可以更改该 ID。
   区域	选择存储专用连接配置的区域。专用连接配置保存在区域中。如果区域发生停机，则区域选择可能会影响可用性。

5. 使用下表填充创建专用连接配置页面的设置连接部分的字段：

   字段	说明
   已获授权的 VPC 网络	选择您在准备工作中创建的 VPC 网络。
   分配 IP 范围	输入 VPC 网络上的可用 IP 范围。您在准备工作中确定了此 IP 范围。

6. 点击创建。

创建专用连接配置后，您可以查看有关该配置的概要信息和详细信息。